Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Белорусский государственный университет информатики и радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ОЗИ.pdf

Скачиваний:

120

Добавлен:

11.05.2015

Размер:

7.53 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 1112 / 1512 13 14 15 > Следующая >>>

рах, а также способность этих систем легко генерировать код аутентификации сообщений. Поэтому системы шифрования с обратной связью используют не только для шифрования сообщений, но и для их аутентификации. Криптоси-

стемам блочного шифрования с обратной связью свойственны некоторые недо-

статки. Основным из них является размножение ошибок, так как один ошибоч-

ный бит при передаче может вызвать ряд ошибок в расшифрованном тексте.

Другой недостаток связан с тем, что разработка и реализация систем шифрова-

ния с обратной связью часто оказываются более трудными, чем систем поточ-

ного шифрования.

На практике для шифрования длинных сообщений применяют поточные

шифры или шифры с обратной связью. Выбор конкретного типа шифра зависит

от назначения системы и предъявляемых к ней требований.

7.2. Симметричные криптосистемы

7.2.1. Основные понятия и определения

Большинство средств

информации базируется на использовании

защиты

криптографических шифров и процедур зашифровывания–расшифровывания. В

соответствии со стандарт м ГОСТ 28147–89 под шифром понимают совокуп-

ность обратимых пре браз ваний множества открытых данных на множество

зашифрованных данных, задаваемых ключом и алгоритмом криптографическо-

го преобразования.

Ключ – это конкретное секретное состояние некоторых параметров алго-

ритма кр птографического

преобразования данных, обеспечивающее выбор

только одного варианта из всех возможных для данного алгоритма. Основной характеристикой шифра является криптостойкость, которая определяет его стойкость к раскрытию методами криптоанализа. Обычно эта характеристика определяется интервалом времени, необходимым для раскрытия шифра.

140

К шифрам, используемым для криптографической защиты информации, предъ-

является ряд требований:

–достаточная криптостойкость (надежность закрытия данных);

–простота процедур шифрования и расшифровывания;

–незначительная избыточность информации за счет шифрования;

–нечувствительность к небольшим ошибкам шифрования и др.

–шифры перестановок; Р

–шифры замены; И

–шифры гаммирования; У

–шифры, основанные на аналитических преобразованияхГ шифруемых данных. Б

								а
							к
этого текста. При достаточной длине бло , в пределах которого осуществляет-
						е
ся перестановка, и сложном н повторяющемся порядке перестановки можно
					т
достигнуть приемлемой для простых практических приложений стойкости
шифра.				о
			и
Шифрование замен й (подстановкой) заключается в том, что символы
		л
шифруемого текста заменяются символами того же или другого алфавита в со-
ответствии с заранее обусловленной схемой замены.
	б
Шифрование гаммированием заключается в том, что символы шифруемо-
и
го текста складываются с символами некоторой случайной последовательности,
Б

именуемой гаммой шифра. Стойкость шифрования определяется в основном

длиной (периодом) неповторяющейся части гаммы шифра. Поскольку с помо-

щью ЭВМ можно генерировать практически бесконечную гамму шифра, то данный способ является одним из основных для шифрования информации в ав-

томатизированных системах.

141

Шифрование аналитическим преобразованием заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу

(формуле). Например, можно использовать правило умножения вектора на мат-

рицу, причем умножаемая матрица является ключом шифрования (поэтому ее

размер и содержание должны храниться в секрете), а

символами умножаемого

вектора последовательно служат символы шифруемого текста.

Процессы зашифровывания и расшифровывания осуществляются в рам-

ках

некоторой

криптосистемы.

Характерной

особенностью симметричной

криптосистемы является применение одного секретного ключа как при зашиф-

ровывании, так и при расшифровывании сообщений.

Как открытый текст, так и шифротекст образуются из букв, входящих в

конечное множество символов, называемое алфавитом. Примерами алфавитов

являются конечное множество всех

заглавных букв,

конечное множество всех

заглавных и строчных букв и цифр и т. п. В общем случае некоторый алфавит

a0 , a1

можно представить как

, am 1 .

Объединяя по определенному правилу буквы из алфавита

, можно со-

– алфавит

содерж ттрm играмм a0a0a0 ,a0a0a1,

,am 1am 1am 1 .

здать новые алфавиты:

– алфавит

2 содержит m2

биграмм a a ,a a ,

;

0 0

0 1

m 1 m 1

n ,

В общем с учае,

объединяя по n букв, получаем алфавит

содержа-

ABCD...XYZ

щий

– n -грамм. Например, английский алфавит

объемом

укв позволяет сгенерировать 262

676

биграмм

AA, AB,..., ZZ ,

263

17576 триграмм AAA, AAB,...ZZY, ZZZ .

При выполнении криптографических преобразований полезно заменить

буквы алфавита целыми числами 0,1, 2,... Это позволяет упростить выполнение необходимых алгебраических манипуляций. Например, можно установить вза-

имно-однозначное соответствие между русским алфавитом {АБВГ…ЮЯ} и

142

множеством целых				чисел	32	0,1, 2,...,31 ,		между английским	алфавитом
					32
{ABCD…YZ} и множеством целых чисел							32	0,1, 2,..., 26 .
							32
		В	дальнейшем		будет	обычно		использоваться	алфавит
	m	0,1, 2,..., m 1		, содержащий m «букв» в виде чисел. Замена букв тради-
		0,1, 2,..., m 1		, содержащий m «букв» в виде чисел. Замена букв тради-

ционного алфавита числами позволит более четко сформулировать основные

концепции и приемы криптопреобразований. В то же время в большинстве ил-

люстраций будет использоваться алфавит естественного языка.

Текст с n

буквами из алфавита

можно рассматривать как n -грамму

X x0 , x1,..., xn 1

, где x

Zm для некоторого целого

1, 2,3,... . Через Zm,n

бу-

дем обозначать множество n -грамм, образованных из букв множества Zm .

Криптографическое преобразование E представляет собой совокупность

преобразований

E E n

E n

: Z

m,n

Преобразование

E n

определяет,

как

каждая

n -грамма

от рытого

текста

Zm,n заменяется

n -граммой шифротекста

y , т.

. y

E n

, причем x ,

Zm,n , при этом обя-

Криптограф ческая

система

может трактоваться как семейство крипто-

зательным является требование взаимной однозначности преобразования E n

на множестве Zm,n .

графических

EK : K

k ,

помеченных

параметром

преобразований

называется к ючом. Множество значений ключа образуют ключевое простран-

ство k .

7.2.2. Традиционные симметричные криптосистемы

Традиционные (классические) методы шифрования отличаются симмет-

ричной функцией шифрования. К ним относятся шифры перестановки, шифры простой и сложной замены, а также некоторые их модификации и комбинации.

143

Следует отметить, что комбинации шифров перестановок и шифров замены об-

разуют все многообразие применяемых на практике симметричных шифров.

1. Шифры перестановок.

Правило перестановок символов – является ключом и задается различны-

ми предметами: цилиндром (скитала, древние греки), размером таблицы,

условным словом или фразой (шифрующие таблицы в эпоху Возрождения), ма-

2. Шифры простой замены.

В шифрах простой замены каждый символ открытого текста заменяется

символом того же или другого

алфавита по определенному правилу. Широко

известны и исследованы шифры Цезаря. Такие шифры имеют слабость по от-

ношению к атакам на основе подсчета ч стот появления букв в шифротексте.

Более

устойчивыми

являются

биграммные шифры (замена

двух букв)

n-граммные шифры, позволяющие мас ировать частоту появления букв.

3. Шифры сложной замены.

Шифры сложной замены называют многоалфавитными, т. к. для шифро-

вания каждого

символа

сходного сообщения применяют свой шифр простой

замены. Многоа фав тная подстановка последовательно и циклически меняет

используемые а фавиты. Например, в r -алфавитной подстановке символ

из

y0 из алфавита B0 , x1 на

y1 из B1 , xr 1

исходного текста заменяется символом

на yr 1

Br 1

, xr

на

yr из Вr. Многоалфавитная подстановка маскирует есте-

ственную статистику исходного языка,

т. к. конкретный символ из алфавита

гическим квадратом в Средние века.

может быть преобразован в несколько символов шифровальных алфавитов В.

К шифрам сложной замены относят шифры Гронсфельда, Вижинера, Вернама.

В 20-х годах были созданы первые шифровальные машины (электромеханиче-

144

ские), реализующие шифры сложной замены. Эти машины использовались до

60-х годов.

4. Шифрование методом гаммирования.

Под гаммированием понимают процесс наложения по определенному за-

кону гаммы шифра на открытые данные. Гамма шифра – это псевдослучайная

зашифровывания заключается в генерации гаммы шифра и наложенииРполу-

последовательность, выработанная по заданному алгоритму для зашифровыва-

ния открытых данных и расшифровывания зашифрованных данных. Процесс

ченной гаммы на исходный открытый текст обратимым образом, например с

использованием операции сложения по модулю 2.

Следует отметить, что перед зашифровыванием открытые данные разби-

вают на блоки Т0 одинаковой длины, обычно по 64 бита. Гамма шифра выраба-

тывается в виде последовательности блоков Гш

налогичной длины.

Уравнение

зашифровывания можно

з писать в виде

Гi

Ti ,

i 1, 2,...,M , где

Ti – i -й блок шифрот

Гi

– i -й блок гаммы шифра, Ti –

кста

i -й блок открытого текс а, M – количество блоков открытого текста.

Процесс расшифр вывания сводится к повторной генерации гаммы шиф-

ра и наложению этой гаммытна зашифрованные данные. Уравнение расшифро-

оi

вывания имеет в д T0

Гш

Tш . Получаемый этим методом шифротекст доста-

поскольку теперь ключ является переменным. По

точно труден д я раскрытия,

сути дела, гамма шифра должна изменяться случайным образом для каждого

шифруемого блока. Если период гаммы превышает длину всего шифруемого

текстаизлоумышленнику не известна ни какая часть исходного текста, то та-

койБшифр можно раскрыть только прямым перебором всех вариантов ключа. В

этом случае криптостойкость шифра определяется длиной ключа.

145

7.2.3. Современные симметричные криптосистемы

По мнению К. Шеннона, в практических шифрах необходимо использо-

вать два общих принципа: рассеивание и перемешивание.

Рассеивание представляет собой распространение влияния одного знака открытого текста на много знаков шифротекста, что позволяет скрыть стати-

стические свойства открытого текста.									Р
стические свойства открытого текста.
Перемешивание предполагает использование таких шифрующих преоб-
								И
разований, которые усложняют восстановление взаимосвязи статистических
							У
свойств открытого и шифрованного текстов. Однако шифр должен не только
						Г
затруднять раскрытие, но обеспечивать легкость зашифровывания и расшифро-
						Б
вывания при известном пользователю секретном ключе.
Распространенным способом достижения эффектов рассеивания и пере-
					а
мешивания является использование сост вного шифра, т. е. такого шифра, ко-
				к
торый может быть реализован в виде не оторой последовательности простых
			е
шифров, каждый из которых вносит свой в лад в значительное суммарное рас-
сеивание и перемешивание.		т
сеивание и перемешивание.
	о
В составных шифрах в качес ве простых шифров чаще всего используют-
и
ся простые перестановки и п дстановки. При перестановке просто перемеши-
л
вают символы открытого текста, причем конкретный вид перемешивания опре-

деляется секретным к ючом. При подстановке каждый символ открытого тек-
	б
ста заменяют другим символом из того же алфавита, а конкретный вид подста-
и
новки также определяется секретным ключом. Следует заметить, что в совре-
Б

менном блочном шифре блоки открытого текста и шифротекста представляют

собой двоичные последовательности обычно длиной 64 бита. В принципе, каж-

дый блок может принимать 264 значений. Поэтому подстановки выполняются в

очень большом алфавите, содержащем до 254 1019 символов.

146

При многократном чередовании простых перестановок и подстановок,

управляемых достаточно длинным секретным ключом, можно получить очень стойкий шифр с хорошим рассеиванием и перемешиванием.

7.3. Стандарт шифрования данных ГОСТ 28147–89

ГОСТ 28147–89 представляет собой 64-битовый блочный алгоритм с

256-битовым ключом. Он предназначен для аппаратной и программной реали-

зации, удовлетворяет криптографическим требованиям и не накладывает огра-

ничений на степень секретности защищаемой информации.

Алгоритм предусматривает четыре режима работы:

1) шифрование данных в режиме простой замены;

2) шифрование данных в режиме гаммирования;

3) шифрование данных в режиме гаммирования с обратной связью;

4) выработка имитовставки.

Основными режимами шифрования являются режимы с использованием

гаммирования, однако они базируются на использовании шифрования данных в

режиме простой замены.

7.3.1. Режим простой замены

1. Шифрован

открытых данных в режиме простой замены. Откры-

тые данные, под ежащие шифрованию, разбивают на 64-разрядные блоки T0 .

в режиме простой замены

Процедура шифрования 64-разрядного блока T0

j 1, 2,

,32

. В ключевое запоминающее устройство вво-

включает 32 цикла

виде восьми

32-разрядных подключей

дят 256 бит ключа K

(чисел) Ki :

K= K7K6K5K4K3K2K1K0 .

Последовательность бит блока

T0 a1 0 ,a2 0 , ,a31 0 ,a32 0 ,b1 0 ,b2 0 , ,b31 0 ,b32 0

147

разбивают на две последовательности по 32 бита: b 0 и a 0 , где b 0 –

левые или старшие биты, a 0 – правые или младшие биты.

Работа алгоритма в режиме простой замены изображена на рис. 7.3.

Обозначения на схеме:

N1, N2 – 32-разрядные накопители;

CM – 32-разрядный сумматор по модулю 232

+ ;

CM2 – 32-разрядный сумматор по модулю 2

;

R – 32-разрядный регистр циклического сдвига;

КЗУ – ключевое запоминающее устройство на 256 бит, состоящее из

восьми 32-разрядных накопителей X0, X1, X2,…, X7;

S – блок подстановки, состоящий из восьми узлов заменыУ(S-блоков заме-

ны) S1, S2, S3,…, S8.

Рис. 7.3. Схема реализации режима простой замены

Эти последовательности вводят в накопители N1 и N2 перед началом пер-

вого цикла шифрования. В результате начальное заполнение накопителя N1

148

a 0

a32 0 , a31 0 ,

, a2 0 , a1 0

32,

31,

номер разряда N1,

начальное заполнение накопителя N2

b 0

b32 0 , b31 0 ,

, b2 0 , b1 0

32,

31,

номер разряда N2 .

Первый цикл

j 1

процедуры шифрования 64-разрядного блока откры-

тых данных можно описать уравнениями

a 1 f a 0 +K0

b 0 ,

b 1

a 0 .

Здесь a 1

– заполнение N1

после 1-го цикла шифрования;

b 1

– заполнение N2

после 1-го цикла шифрования;

– функция шифрования.

модулю 232 числа a 0

Аргументом

функции f

является

сумма по

(начального заполнения накопит ля N1) числаи

K0 подключа, считываемого из

этих

накопителя X0 КЗУ. Каждое из

чис л равно 32 битам.

Функция f

включает две операции над полученной 32-разрядной суммой

( a 0 +K0 ).

Первая операц оя называется подстановкой (заменой) и выполняется бло-

блок

ком подстановки S. Блок подстановки S состоит из восьми узлов замены

(S блоков замены) S1, S2, S3,…, S8

с памятью 64 бит каждый. Поступающий из

СМ1 на

подстановки S 32-разрядный вектор разбивают на восемь после-

довательно идущих 4-разрядных векторов, каждый из которых преобразуется в

четырехразрядный вектор соответствующим узлом замены. Каждый узел заме-

ны можно представить в виде таблицы-перестановки шестнадцати четырехраз-

рядных двоичных чисел в диапазоне 0000 1111. Входной вектор указывает адрес строки в таблице, а число в этой строке является выходным вектором. За-

тем четырехразрядные выходные векторы последовательно объединяют в

149

32-разрядный вектор. Узлы замены (таблицы-перестановки) представляют со-

бой ключевые элементы, которые являются общими для сетей ТКС и редко из-

меняются. Эти узлы замены должны сохраняться в секрете.

Вторая

операция – циклический

сдвиг

влево

(на

разрядов)

32-разрядного вектора, полученного с выхода блока подстановки S. Цикличе-

ский сдвиг выполняется регистром сдвига R. Затем результат работы функции

шифрования

суммируют поразрядно по модулю

в сумматоре СМ2 c

32-разрядным начальным заполнением b 0

накопителя N2 . Затем полученный

на выходе СМ2

результат (значение a 1 ) записывают в накопительРN1, а ста-

(значение a 0 )

рое значение N1

переписывают в накопитель N2

(значение

b 1 a 0 ). Первый цикл завершен. Последующие циклыУосуществляются

аналогично,

при этом во втором цикле из КЗУ считывают заполнение X0 –

подключ K1 , в третьем цикле – подключ

и т. д., в восьмом цикле – подключ

K7 . В циклах с 9-го по 16-й, а также в ци л х с 17-го по 24-й подключи из КЗУ

считываются в том же порядке: K0

,K1,K2 ,…,K6 ,K7 . В последних восьми цик-

лах с 25-го

по 32-й

порядок

счи ывания подключей из КЗУ обратный:

K7 ,K6 ,…,K2 ,K1,K0 . Таким

бразом, при шифровании в 32 циклах осуществля-

ется следующий поряд к выбтрки из КЗУ подключей:

В 32-м циклерезультат из сумматора

СМ2

вводится в накопитель N2, а в

, K1 , K

, K

, K1

, K2

, K3 ,K

, K5 , K6

, K

, Kи, K , K

, K

накоп теле N1 сохраняется прежнее заполнение. Полученные после 32-го цикла

шифрованияизаполнения накопителей N1

и N2 являются блоком шифрованных

данных TШ , соответствующим блоку открытых данных Т0 .

Уравнения шифрования в режиме простой замены имеют вид

150

K j

1 mod8

при j

24,

K 32

j mod8

при j

31,

a 32

a 31

при j

32.

f a 31

b 31

a32

, a31

, a1

где a

– заполнение N1 после

-го цикла шифро-

вания;

b32

,b31

,b1

– заполнение N2

после j

-го цикла шифрова-

ния, j

32 .

Блок зашифрованных данных ТШ (64 разряда) выводится из накопителей

N1, N2

в следующем порядке: из разрядов 1

32 накопителя N1, затем из разря-

дов 1

32 накопителя N2, т. е. начиная с мл дших разрядов:

а32 ,b 32 ,b 32 , ,b 32 ,b 32 .

a 32 ,a 32 , ,a 32 ,a

открытых

Остальные блоки

данных зашифровываются в режиме простой

замены аналогично.				фро

2. Расшифровывание в режиме простой замены. Криптосхема, реали-
			и
зующая алгоритм расш					вывания в режиме простой замены, имеет тот же
		л
вид, что и при ш фрован					(см. рис. 7.3).
	б
В КЗУ вводят 256 бит ключа, на котором осуществлялось шифрование.
и
Заш фрованные данные, подлежащие расшифровыванию, разбиты на блоки
Б
ТШ по 64 б та в каждом. Ввод любого блока
TШ a1 32 ,a2				32 ,	,a31 32 ,a32 32 ,b1 32 ,b2 32 , ,b31 32 ,b32 32
в накопители N1 и N2				производят так, чтобы начальное значение накопителя N1
имело вид

151

a32	32	,	a31	32	,	,	a2	32	,	a1	32
32,			31,			,	2,			1	номер разряда N1,
а начальное заполнение накопителя N2:
b32	32	,	b31	32	,	,	b2	32	,	b1	32
32,			31,			,	2,			1	номер разряда N2 .

Расшифровывание осуществляется по тому же алгоритму, что и шифро-

вание, с тем изменением, что заполнения накопителей

, X1

, X2 , , X7

считы-

ваются из КЗУ в циклах расшифровывания в следующем порядке:

K0 , K1 , K2 , K3 ,K

4 , K5 , K6 , K7 , K7 , K6 , K5 , K

4 ,K

, K

, K1

, K0

K7 , K6 , K5 , K4 ,K3 , K2 , K1 , K0 , K7 , K6

, K5 , K

, K

2 , K1, K0 .

j 1

Уравнения расшифровывания имеют вид

a 32 j

f a 32 j 1 K

b 32 j 1

при j

j 1

j mod8

b 32

при j

31,

a 0

a 1

при j

32.

b 0

f a 1

b 1

Полученные после 32-х циклов работы заполнения накопителей N1 и N2

образуют блок открытых данных:

a 0 ,a 0 , ,a 0 ,a 0 ,b 0 ,b 0 , ,b 0 ,b 0 ,

1 и2

соответствующийллоку зашифрованных данных Т

. При

этом

состояние

накоп телябN1:

a32 0 , a31 0 ,

, a2 0 , a1 0

32,

31,

номер разряда N1,

состояние накопителя N2:

b32 0 , b31 0 ,

, b2 0 , b1 0

32,

31,

номер разряда N2 .

152

Аналогично расшифровываются остальные блоки зашифрованных дан-

ных.

Если алгоритм зашифровывания в режиме простой замены 64-битного блока Т0 обозначить через A , то

A Т0 =А a 0 ,b 0 = a 32 ,b 32 =TШ .

Следует иметь в виду, что режим простой замены допустимо использо-

вать для шифрования данных только в ограниченных случаях при выработке

ключа и шифровании его с обеспечением имитозащиты для передачи по кана-

лам связи или для хранения в памяти ЭВМ.

7.3.2. Режим гаммирования

Зашифровывание

открытых данных в режиме гаммирования.

Криптосхема, реализующая алгоритм шифров ния в режиме гаммирования, по-

казана на рис. 7.4. Открытые данные р збив ют на 64-разрядные блоки

Т 1

, Т 2

, Т i , , Т m ,

где T i –

i -й 64-разрядный блок о крытых данных, i

m , m определяется

чередно

объемом шифруемых данных.

Эти блоки по

зашифровываются в режиме гаммирования путем

с гаммой шифра ГШ ,

поразрядного с ожен я по модулю 2 в сумматоре CM5

которая выра атывается блоками по 64 бита, т. е.

ГШ

ГШ1 , ГШ2

, ГШi ,

, ГШm

где Г i – i -й 64-разрядный блок, i

m .

Число двоичных разрядов в блоке

T m

может быть меньше 64, при этом

не использованная для зашифровывания часть гаммы шифра из блока ГШm от-

брасывается.

Уравнение шифрования данных в режиме гаммирования имеет вид

153

				T i	T i	Г i	,
				Ш	0	Ш
где Г i	A Y	C , Z	C	, i 1 m ; T i		– i -й блок 64-разрядного блока за-
Ш	i 1	2 i 1	1		Ш

шифрованного текста; A – функция шифрования в режиме простой замены;

С1, С2 – 32-разрядные двоичные константы; Yi, Zi – 32-разрядные двоичные по-

следовательности.

Рис. 7.4. Схема реализации режима гаммирования

Вел ч ны Yi, Zi определяются итерационно по мере формирования гаммы

ГШ

следующ м образом:

Y0 , Z0 A S ,

где S – синхропосылка (64-разрядная двоичная последовательность),

Yi , Zi

Yi 1 C2 , Zi 1 C1 ,i 1...m.

154

Рассмотрим реализацию процедуры шифрования в режиме гаммирования.

В накопители N6 и N5 заранее записаны 32-разрядные двоичные константы

С1 и С2, имеющие следующие значения (в шестнадцатеричной форме):

01010104 16 ,C2 01010101 16 .

В КЗУ вводится 256 бит ключа; в накопители N1

и N2 – 64-разрядная дво-

ичная последовательность (синхропосылка)

S = S1 , S2 ,

, S64 .

Синхропосылка S является исходным заполнением накопителей N1 и N2

для последовательной выработки

m блоков гаммы шифра.

Исходное заполнение накопителя N1:

S32 , S31 ,

S2 ,

32,

31,

номер разряда N1,

состояние накопителя N2:

S64 , S63

, S34

, S33

64,

63,

34,

номер разряда N .

Исходное заполнение N1

и N2

(синхропосылка

S шифруется в режиме

простой замены. Резуль ат шифрования

A S

Y0 , Z0

и N4 так, что заполнение N1 пе-

переписывается в 32-разрядные накопители N3

реписывается в N3, а заполнение N2 – в N4.

суммируют по модулю

232

Заполнение накопителя N4

в сумматоре

CM4 с 32-разрядной константой С1 из накопителя N6. Результат записывается в

232

N4. Заполнение накопителя N3

суммируется по модулю

в сумматоре CM с

32-разрядной константой С3

из накопителя N5. Результат записывается в N3. За-

полнение N3 переписывают в N1, а заполнение N4 – в N2, при этом заполнения

N3, N4 сохраняются. Заполнение накопителей шифруется в режиме простой замены.

155

Полученное в результате шифрования заполнение накопителей N1 и N2

образует первый 64-разрядный блок гаммы шифра:

Г 1

(1)

(1) ,..., (1) ,

(1)

который суммируют поразрядно по модулю 2 в сумматоре СМ5

с первым

64-разрядным блоком открытых данных:

Т 1

t 1 , t 1 ,

, t 1 , t

1 .

ГШ1

В результате суммирования по модулю 2 значений

Т01

получают

первый 64-разрядный блок зашифрованных данных:

ТШ

ГШ

Т0

,…,

где

64.

за-

Для получения следующего 64-разрядного блока гаммы шифра ГШ

полнение N4 суммируется по модулю

в сумматоре CM4

с константой

С1 из N6. Результат записывается в N4. Заполнение N3

суммируется по модулю

в сумматоре

CM3

из N5. Результат записывается в N3. Но-

с константой С2

вое заполнение N3

переписывают

ев N1, а новое заполнение N4 – в N2, при этом

заполнения N3

с храняют. Заполнения N1, N2

шифруют в режиме простой

замены.

Полученное в результате шифрования заполнение накопителей N1 и N2

образует второй 64-разрядный блок гаммы шифра ГШ2 , который суммируется

поразрядно по модулю 2 в сумматоре CM5

со вторым блоком открытых

2 :

данных

ТШ2

ГШ2

Т02 .

Аналогично вырабатываются блоки гаммы шифра ГШ3 , ГШ4

, , ГШm

шифруются блоки открытых данных Т03 , Т03 ,

, Т0m .

156

В канал связи или память ЭВМ передаются синхропосылка S и блоки

зашифрованных данных:

ТШ1 , ТШ2 , , ТШm .

2. Расшифровывание в режиме гаммирования. При расшифровывании

криптосхема имеет тот же вид, что и при шифровании.

Уравнение расшифровывания

T i

Г i

T i

A Y C , Z C

, i 1 m .

i 1

Следует отметить, что расшифровывание данных возможноРтолько при

наличии синхропосылки, которая не является секретным элементом шифра и

может храниться в памяти ЭВМ или передаваться по каналам связи вместе с

зашифрованными данными.

Рассмотрим реализацию процедуры расшифровывания. В КЗУ вводят

256 бит ключа, с помощью которого осуществляется

шифрование данных

Т01 , Т02 , , Т0m . В накопители N1 и N2

вводится синхропосылка и осуществля-

. Блоки зашиф-

ется процесс выработки m блоков гаммы шифра ГШ , ГШ ,

, ГШ

еm

суммируются поразрядно по модулю 2 в

рованных данных ТШ

, ТШ

, , ТШ

сумматоре

СМ5 с бл ками гаммы шифра ГШ1 , ГШ2 ,

, ГШm . В результате полу-

чаются блоки открытых данных Т0

, Т0 ,

, Т0

при этом Т0

может содер-

жать меньше 64 разрядов.

7.3.3. Режим гаммирования с обратной связью

иКриптосхема, реализующая алгоритм шифрования в режиме гаммирова-

ния с обратной связью, имеет вид, показанный на рис. 7.5.

157

Рис. 7.5. Схема реализации режима гаммирования с обратной связью

1. Шифрован е ткрытых данных в режиме гаммирования с обрат-

ной

связью. Открытые данные, разбитые на

64-разрядные блоки

Т01 , Т02 , , Т0m

, шифруются в режиме гаммирования с обратной связью путем

блоками

поразрядного сложения по модулю 2 с гаммой шифра ГШ

, которая вырабатыва-

ется

по 64 бита: ГШ1 , ГШ2 , , ГШm .

БЧисло двоичных разрядов в блоке Т m

может быть меньше 64, при этом

не использованная для шифрования часть гаммы шифра из блока ГШm отбрасы-

вается.

158

Уравнения шифрования в режиме гаммирования с обратной связью име-

ют вид:

T 1

A S T 1

T 1

T i

A T i 1

T i

Г i

T i

, i 2 m .

Здесь T i – i-й 64-разрядный блок шифрованного текста; A

– функция

шифрования в режиме простой замены; m определяется объемом открытых

данных.

Аргументом функции A

на первом шаге итеративного алгоритма яв-

ляется

64-разрядная

синхропосылка

S, а

на

всех

последующих шагах –

предыдущий блок зашифрованных данных

T i

1 .

Процедура шифрования данных в режиме гаммирования с обратной свя-

зью реализуется следующим образом. В КЗУ вводятся 256 бит ключа, в накопи-

тели N1

и N2

вводится синхропосыл а

S = S1 , S2 ,

, S64

из 64 бит. Исходное за-

полнение накопителей

шифру тся в режиме простой замены. По-

сумматоре

лученное в результате шифрования заполнение накопителей N1

и N2 образует

первый 64-разрядный

гаммы шифра

ГШ

А S

, который суммируется

поразрядно по модулю 2 в

CM5

с первым 64-разрядным блоком от-

блок

крытых данных:

Т0

, t2 ,

, t63

, t64 .

В результате получают первый 64-разрядный блок шифрованных данных

ТШ1

ГШ1

Т01 ,

где Т 1

, 1

,…,

1 .

Блок шифрованных данных

T i

одновременно является также исходным

состоянием

накопителей

для

выработки

второго

блока гаммы

159

шифра ГШ2 , и поэтому по обратной связи TШ1 записывается в указанные нако-

пители N1 и N2.

Заполнение накопителя N1:

1	1		1			1
32 ,	31 ,	,	2	,		1
32,	31,	,	2,		1		номер разряда N1.
Заполнение накопителя N2:												Р
1	1		1			1
64 ,	63 ,	,	34	,		33
32,	31,	,	2,			1	номер разряда N1.

Заполнение накопителей N1			и N2		шифруется в режиме простой замены.
										И
Полученное в результате шифрования заполнение накопителей N1											и N2 образует
						2			У
второй 64-разрядный блок гаммы шифра ГШ									У
второй 64-разрядный блок гаммы шифра ГШ							, который суммируется поразряд-
							Г
но по модулю 2 в сумматоре СМ со вторым блоком открытых данных Т02 :
			Т 2		Г 2		Б
			Т 2		Г 2		Т 2 .
			Ш			Ш	0
						а		ГШ и шифрование соот-
Выработка последующих блоков гаммы шифра								ГШ и шифрование соот-
				к
ветствующих блоков открытых данных					Т0i		i 3 m	производятся аналогич-
			е

но. Если длина последнего m -го блока открытых данных Т0m меньше 64 разря-
дов, то из Г m	используетсятлько соответствующее число разрядов гаммы
Ш			о

шифра, остальные разряды отбрасываются.
		и		S	и блоки
В канал связи и и память ЭВМ передаются синхропосылка
	л
зашифрованных данных ТШ1 , ТШ2 , , ТШm .
б
2.иРасшифровывание в режиме гаммирования с обратной связью.

При расшифровывании криптосхема имеет тот же вид, что и при шифровании.
Б
Уравнения расшифровывания:
T 1	A S T 1	Г 1	T 1	,
0	Ш	Ш	Ш

160

T i	Г i	T i	=A T i 1	T i	, i 2 m .
0	Ш	Ш	Ш	Ш

Реализация процедуры расшифровывания шифрованных данных в режи-

ме гаммирования с обратной связью происходит следующим образом. В КЗУ вводят 256 бит того же ключа, на котором осуществлялось шифрование откры-

тых блоков Т01 , Т02 , , Т0m . В накопители N1 и N2 вводится синхропосылка S .

Исходное заполнение накопителей N1

и N2 (синхропосылка S ) шифруется в ре-

жиме простой замены. Полученное в результате шифрования заполнение N1 и

N2 образует первый блок гаммы шифра

ГШ1

А S ,

CM5

который суммируется поразрядно по модулю 2 в сумматоре

с блоком

шифрованных данных ТШ1 . В результате получается первый блок открытых

данных

Т02

ГШ2

ТШ2 .

является исходным заполнением накопи-

Блок шифрованных данных ТШ

ГШ2

: ГШ2

А ТШ1 .

телей N1

и N2 для вырабо ки в орого блока гаммы шифра

Полученное заполнение нак пи елей N1

и N2

шифруется в режиме простой за-

мены. Образованный в результате шифрования блок ГШ суммируется пораз-

рядно по моду ю 2 в сумматоре CM5

со вторым блоком шифрованных данных

ТШ2

. В резу ьтате по учают второй блок открытых данных. Аналогично в N1 и

последовательно записывают блоки шифрованных данных ТШ2 , ТШ3 , , ТШm ,

из которых в режиме простой замены вырабатываются блоки гаммы шифра

Г 3

, Г 4 , , Г m . Блоки гаммы шифра суммируются поразрядно по модулю 2 в

сумматоре CM5 с блоками шифрованных данных ТШ3 , ТШ4 ,

, ТШm .

В результате получают блоки открытых данных Т03 , Т04 ,

, Т0m , при этом

последний блок открытых данных Т0m

может содержать меньше 64 разрядов.

161

7.3.4. Режим выработки имитовставки

Имитовставка – это блок из P бит, который вырабатывают по опреде-

ленному правилу из открытых данных с использованием ключа и затем добав-

ляют к зашифрованным данным для обеспечения их имитозащиты.

Имитозащита – это защита системы шифрованной связи от навязывания

ложных данных.

В стандарте ГОСТ 28147–89 определяется

процесс

выработки ими-

товставки, который единообразен для любого из режимов шифрования данных.

Имитовставка Ир вырабатывается из блоков открытых данных либо Рперед шиф-

рованием всего сообщения, либо параллельно с шифрованием по блокам. Пер-

вые блоки открытых данных, которые участвуют в выработке имитовставки,

могут содержать служебную информацию (например адресную часть, время,

синхропосылку) и не шифруются.

Значение параметра Р (число двоичных р зрядов в имитовставке) опреде-

ляется криптографическими требованиями с учетом того, что вероятность навя-

зывания ложных помех равна 1/2Р.

Для выработки ими овс авки о крытые данные представляют в виде по-

следовательности 64-разрядных блоков T i , i

m. Первый блок открытых

данных T0

подвергают пре бразованию

, соответствующему первым 16

циклам алгоритма ш фрования в режиме простой замены. В качестве ключа

для выра отки имитовставки используют ключ длиной 256 бит, по которому

шифруют данные.

Полученное после 16 циклов 64-разрядное число A Т01

суммируют по

модулю 2 со вторым блоком открытых данных Т02 . Результат суммирования

A Т01 Т02 снова подвергают преобразованию A .

162

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 1112 / 1512 13 14 15 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
11.05.20152.03 Mб19Овчаренко_6.pdf
#
11.05.20152.16 Mб109Овчаренко_7.pdf
#
11.05.20152.2 Mб18Овчаренко_8.pdf
#
16.03.20167.64 Mб471ОЗИ. Методичка.doc
#
16.03.20162.13 Mб454ОЗИ.doc
#
11.05.20157.53 Mб120ОЗИ.pdf
#
11.05.2015149.58 Кб39ОИБГ(курс лекций).docx
#
07.11.20181.27 Mб8ОИВТ_Ч1.doc
#
11.05.20157.45 Mб76оифтик 08-2012 готовый.docx
#
25.11.201941.68 Кб5ОКР Основы управления интеллектуальной собствен...docx
#
21.09.2019198.72 Кб1ОЛЯ-SPOVM.docx